Kræftens Bekæmpelse indstillet til bøde

Dato: 29-09-2021

Datatilsynet har anmeldt Kræftens Bekæmpelse til politiet og indstillet til en bøde på 800.000 kr. efter gentagne problemer med utilstrækkelig beskyttelse af bl.a. kræftsyge borgeres helbredsoplysninger.

Datatilsynet har i dag meldt Kræftens Bekæmpelse til politiet og indstillet til en bøde for ikke at have levet op til kravene i GDPR om passende sikkerhedsforanstaltninger. Mindst 1.448 borgeres oplysninger - herunder følsomme personoplysninger om helbred - blev kompromitteret.

"Når kræftsyge borgere betror deres helbredsoplysninger til andre, skal de kunne være trygge ved, at der bliver passet ordentligt på dem. I dette tilfælde har vi ikke kun set enkeltstående smuttere, men flere alvorlige brud, der faktisk kunne være undgået gennem ret basale tiltag," siger Allan Frank, it-sikkerhedsspecialist og jurist i Datatilsynet, og fortsætter:

"Selv om advarselslamperne har blinket gennem noget tid, har Kræftens Bekæmpelse ikke gennemført de initiativer, de selv har vurderet som nødvendige, og konsekvensen har været yderligere nye sikkerhedsbrud."

Manglende implementering af sikkerhedsforanstaltninger

Sagen tager udgangspunkt i fire tilfælde, hvor Kræftens Bekæmpelse har konstateret brud på persondatasikkerheden og selv anmeldt dem til Datatilsynet. To af dem vedrørte tyveri af computere, mens to omhandlede phishingangreb - og alle fire skyldtes, at Kræftens Bekæmpelse havde undladt at implementere sikkerhedsforanstaltninger, som de selv havde vurderet som passende.

Den vurdering skete på baggrund af lignende brud på persondatasikkerheden i august 2018, hvor foreningen blev udsat for hackerangreb i form af phishing og spoofing. I forbindelse med dette angreb vurderede Kræftens Bekæmpelse selv, at de burde øge beskyttelsen gennem multifaktor-autentifikation (dvs. at man bruger to eller flere faktorer til at logge på systemer o.l.), men dette blev ikke implementeret.

Konsekvensen blev, at Kræftens Bekæmpelse ikke var i stand til at forebygge eller forhindre de efterfølgende brud på persondatasikkerheden, og uvedkommende fik uautoriseret adgang til personoplysninger, der blev opbevaret i medarbejdernes Outlook eller lokalt på medarbejdernes computere.

Mindst 1.448 personers oplysninger blev kompromitteret, og i flere tilfælde omfattede de følsomme personoplysninger i form af helbredsoplysninger, herunder sygehistorik.

Som dataansvarlig skal man vurdere, hvilke foranstaltninger der er passende i forhold til den behandling, man foretager sig. Når man har vurderet, hvad der er passende sikkerhed, er det væsentligt, at man sørger for at få implementeret disse tiltag. Hvis man ikke gør det, har man selv vurderet, at ens måde at behandle personoplysninger ikke er tilstrækkeligt sikker. Det er særligt vigtigt, at man er tro mod sin risikovurdering, når man behandler oplysninger om mange personer og oplysninger om helbredsforhold.

Donationer indgår ikke i beregning af bødestørrelse

"Selv om vi har forståelse for den indsats, der ydes til bekæmpelse af kræft, må vi også stå fast på, at hvis man som en del af arbejdsområdet normalt behandler folks personlige oplysninger til sygdomsforebyggelse, sorggrupper eller lignende, er man nødt til også at leve op det ansvar, der følger med. I sidste ende er det et spørgsmål om tillid, som man også skal gøre sig fortjent til, når man arbejder i den gode sags tjeneste," siger Allan Frank.

Datatilsynet er dog opmærksom på, at Kræftens Bekæmpelse er en organisation, hvor størstedelen af foreningens indtægter stammer fra donationer og private midler. I beregningen og vurderingen af bødens størrelse har Datatilsynet alene taget udgangspunkt i Kræftens Bekæmpelses indtægter fra genbrug, arrangementer og salg af merchandise og andre produkter, hvilket svarer til omtrent 10 procent af foreningens samlede indtægter.

Vil du vide mere?

Du kan læse mere om beskyttelse af personoplysninger her.

Pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83 eller ad@datatilsynet.dk.

Fakta

Bødestraffe for brud på GDPR

Det fremgår af GDPR, at tilsynsmyndighederne skal kunne give bøder ved brud på databeskyttelsesreglerne. En bøde skal være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.

I de fleste europæiske lande kan de nationale datatilsyn selv udstede administrative bøder, men reglerne er anderledes i bl.a. Danmark. Her fungerer det på den måde, at Datatilsynet efter at have belyst og vurderet sagen politianmelder den dataansvarlige. Herefter undersøger politiet, om der er grundlag for at rejse en sigtelse mv., og endelig vil en eventuel bødestraf blive afgjort ved en domstol.

Offentlige myndigheder

Det er nationalt reguleret, om det skal være muligt at give bøder til offentlige myndigheder. I Danmark har man fastsat i databeskyttelsesloven, at offentlige myndigheder skal kunne straffes på samme måde som private aktører. Bødelofterne for alle offentlige myndigheder er dog lavere end dem, der gælder private virksomheder.

Se oversigt over GDPR-bøder her.